Embora a conformidade com requisitos de Segurança da Informação seja tradicionalmente visto como uma questão estratégica, relacionada aos interesses e objetivos da organização (HONG et al., 2003; POSTHUMUS; VON SOLMS, 2004; DOHERTY; FULFORD, 2006; HEDSTRÖM et al., 2011; WU; SAUNDERS, 2011), uma série de trabalhos tem mostrado que as decisões sobre Segurança da Informação têm sido influenciadas ou determinadas pelo ambiente externo – alguns desses utilizam a Teoria Institucional como lente teórica (ver Quadro 3).
Apesar de a Teoria Institucional já ter sido utilizada em trabalhos de Sistemas de Informação (DEVAUJANY et al., 2014), sua aplicação nessa área temática é considerada incipiente, havendo ainda muito potencial de aplicação (WEERAKKODY; DWIVEDI; IRANI, 2009), situação que se repete em trabalhos do tema Segurança da Informação (BJÖRCK, 2004; KAM et al., 2013; ALBUQUERQUE JUNIOR; SANTOS, 2013, 2014a, 2014b).
Para Björck (2004), a Teoria Institucional é adequada para estudar Segurança da Informação, pois permite identificar quais forças institucionais afetam a maneira como as políticas são desenvolvidas, de onde vêm essas forças institucionais, como essas instituições são difundidas entre as organizações e em que medida afetam as estruturas formais de Segurança da Informação. O autor sustenta ainda que as instituições afetam as organizações, subgrupos organizacionais e indivíduos, e a Teoria Institucional pode explicar o que determina as escolhas que implicam em questões de Segurança da Informação nesses
contextos, quais forças institucionais incidem sobre esses grupos e indivíduos, quem exerce as pressões institucionais, como as instituições são difundidas nesses grupos e em que medida afetam a Segurança da Informação.
Quadro 3 – Trabalhos sobre Segurança da Informação sob a ótica da Teoria Institucional.
AUTORES TIPO OBJETIVO
Björck (2004) Teórico Propor a Teoria Institucional como abordagem para pesquisas sobre Segurança da Informação
Backhouse, Hsu e Silva
(2006) Empírico
Analisar o desenvolvimento e institucionalização da norma BS7799 (norma internacional ISO/IEC 27002)
Hu, Hart e Cooke (2006) Empírico Identificar o papel das influências externas nas ações de Segurança da Informação
Hu, Hart e Cooke (2007) Empírico Identificar o papel das influências internas e externas nas ações de Segurança da Informação
Appari, Johnson e
Anthony (2009) Empírico
Propor um modelo para estudar a conformidade regulamentar com a norma Health Insurance Portability and Accountability Act (HIPAA) do Governo dos Estados Unidos e testar empiricamente Appari, Anthony e
Johnson (2009) Empírico
Investigar a variação da conformidade das organizações com a norma HIPAA
Luesebrink (2011) Empírico Avaliar o impacto do ambiente regulatório sobre a Governança da Segurança da Informação
Nasution (2012) Empírico Compreender como se deu a institucionalização das medidas e da Governança da Segurança da Informação
Lopes (2012) Empírico Estudar o processo de adoção de Políticas de Segurança da Informação
Hsu, Lee e Straub (2012) Empírico Investigar a adoção da gestão da Segurança da Informação como uma inovação moderada por fatores organizacionais
Holgate, Williams e Hardy
(2012) Empírico
Examinar como são organizados na prática os arranjos de Governança da Segurança da Informação
Spears, Barki e Barton
(2013) Empírico
Estudar os aspectos simbólicos para aumentar a aceitação da Gestão de Riscos e da Segurança da Informação
Tejay e Barton (2013) Empírico Investigar como influências externas motivam a alta gestão a se comprometer com a Segurança da Informação
Williams, Hardy e Holgate
(2013) Empírico
Examinar como surgem as variações de arranjos de Governança da Segurança da Informação
Kam, Katerattanakul e
Emerick (2013) Empírico
Examinar como as pressões externas conduzem ao cumprimento de Políticas de Segurança da Informação
Kam et al. (2013) Empírico Examinar como as expectativas externas impulsionam o cumprimento de Políticas de Segurança da Informação Anthony, Appari e
Johnson (2014) Empírico Examinar a conformidade com a norma HIPAA
Lopes e Sá-Soares (2014) Empírico Estudar os fatores que condicionam a adoção de Políticas de Segurança da Informação
AlKalbani, Deng e Kam
(2014) Empírico
Propor um modelo para conformidade de iniciativas de Governo Eletrônico e testar empiricamente
AlKalbani, Deng e Kam
(2015) Empírico
Explicar como a cultura organizacional influencia a conformidade com a Segurança da Informação
Cavusoglu et al. (2015) Empírico Explicar por que existem diferenças de recursos de controle de Segurança da Informação entre as organizações
Backhouse, Hsu e Silva (2006) estudaram como se deu a institucionalização da norma britânica BS 7799, que viria a se tornar a norma internacional ISO/IEC 17799, posteriormente nomeada ISO/IEC 27002 e adotada como norma brasileira pela ABNT (2013) como NBR ISO/IEC 27002. Para os autores, a adoção da norma no Reino Unido e sua internacionalização podem ser explicadas pelo mimetismo institucional: a adoção dentro do país no qual foi criada foi feita com a intenção de demonstrar bons controles internos nas organizações, embora não houvesse obrigação; depois de ter sido adotada pela ISO como norma internacional, diversos países passaram a adotá-la também ao invés de desenvolverem suas respectivas normas.
A possibilidade de ocorrência de incidentes que afetam iniciativas de governo eletrônico motivou AlKalbani, Deng e Kam (2014) a proporem um modelo de conformidade de Segurança da Informação para organizações públicas. Segundo os autores, expectativas externas impõem pressões sobre as organizações públicas no sentido de empreender esforços para atender aos requisitos de Segurança da Informação. Os autores identificaram pressões coercitivas de leis e regulamentos, em um contexto de aumento de intervenções de órgãos do Governo para que essas organizações estejam em conformidade. A pressão coercitiva também pode vir da sociedade, que espera que seus dados em posse do Governo estejam seguros, segundo os autores. O modelo proposto foi validado em outro estudo (ALKALBANI; DENG; KAM, 2015) e os autores concluem que promover uma cultura de Segurança da Informação na organização pode aumentar a conformidade organizacional com os requisitos externos de Segurança da Informação.
Spears, Barki e Barton (2013) estudaram a Segurança da Informação e a Gestão de Riscos em um contexto regulatório sob a lente da Teoria Institucional em seis organizações e concluíram que elas são incentivadas por fatores externos, destacando a regulamentação à qual estão sujeitas e as auditorias externas sofridas para avaliar a conformidade.
Nasution (2012) estudou a institucionalização de medidas de Segurança da Informação no setor bancário da Indonésia e notou que o Banco Central do país tem uma participação significativa na adoção de medidas devido ao seu poder regulamentar – em outras palavras, poder coercitivo. O autor ressalta o apoio do alto escalão de gestores e o impacto positivo que o cumprimento da Política de Segurança da Informação tem sobre a adoção de outras medidas. Outro destaque apresentado é o impacto da ocorrência de
incidentes de Segurança da Informação, que, apesar de ser um fato negativo, impulsiona a adoção ou revisão de medidas de Segurança da Informação.
Tejay e Barton (2013) investigaram como influências externas motivam o comprometimento de gestores de pequenas e médias empresas com a Segurança da Informação e concluíram que as crenças desses gestores são influenciadas principalmente por mecanismos normativos e miméticos, mas também por regulamentos do Governo como mecanismos coercitivos, o que influencia positivamente na assimilação da Segurança da Informação nas organizações.
Holgate, Williams e Hardy (2012) estudaram a influência do ambiente institucional na Governança da Segurança da Informação em organizações de infraestrutura crítica da Austrália e identificaram algumas variações nos arranjos de governança, além de isomorfismo por influências institucionais, como normas internacionais, relações estabelecidas com outras organizações, indústrias com quem têm relações de dependência e seu campo organizacional. Ao examinar como surgem as variações em arranjos de Governança da Segurança da Informação nessas organizações, Williams, Hardy e Holgate (2013) perceberam que elas estavam sujeitas a pressões coercitivas de órgãos do Governo, além de pressões normativas referentes à adoção da norma ISO/IEC 27002 como modelo.
Kam et al. (2013) estudaram como as organizações acadêmicas dos Estados Unidos são influenciadas por expectativas externas para cumprirem Políticas de Segurança da Informação e a influência dessas forças externas na conscientização sobre Segurança da Informação. A pesquisa mostrou que pressões institucionais regulatórias (coercitivas) e normativas influenciam de forma significativa a conformidade dessas organizações com as Políticas de Segurança da Informação, embora essas pressões sejam moderadas pela liberdade existente no ambiente acadêmico, que pode ser reduzida com a adoção de medidas de Segurança da Informação.
Kam, Katerattanakul e Emerick (2013) estudaram ainda como pressões externas afetam a conformidade com Políticas de Segurança da Informação no setor bancário e concluíram que essas organizações cumprem suas políticas principalmente para atender a expectativas normativas.
Documentos que formalizam Políticas de Segurança da Informação da administração pública municipal de Portugal foram analisados e como resultado foi feita uma proposta de um modelo aplicável aos diferentes municípios daquele país. O modelo pôde ser
institucionalizado por meio de um processo que envolve regulação, aprovação como padrão e criação da obrigação de adotá-lo. A institucionalização envolve ainda fazer do modelo uma obrigação social por meio da formação das pessoas e interiorização dos benefícios da Política de Segurança da Informação (LOPES, 2012; LOPES; SÁ-SOARES, 2014).
Hsu, Lee e Straub (2012) estudaram a Segurança da Informação como uma inovação administrativa e concluíram que as organizações sofrem pressões isomórficas miméticas e coercitivas, ainda que moderadas por fatores organizacionais e econômicos: percepção quanto a incertezas ambientais e ao ganho de vantagem competitiva; disponibilidade de recursos; apoio da alta gestão; capacidade em prover recursos de TI; e aceitabilidade cultural de inovações.
Luesebrink (2011) avaliou o impacto de iniciativas de regulação sobre as estruturas de gestão de Segurança da Informação de organizações acadêmicas a partir da perspectiva institucional. O autor observou que a contratação de profissionais com conhecimentos sobre Governança da Segurança da Informação e a compreensão por parte dos gestores de que é prioridade alcançar e manter a conformidade com regulamentos e normas fez com que as organizações adotassem medidas de Segurança da Informação, o que mostra que mecanismos normativos e coercitivos de pressão institucional influenciaram na adoção de medidas de Segurança da Informação.
Cavusoglu et al. (2015) investigaram os investimentos que diferentes organizações fazem em Segurança da Informação e concluíram que estas sofrem pressões institucionais normativas e coercitivas. A pressão normativa recai principalmente sobre os investimentos em capacitação dos membros da organização em Segurança da Informação, mas influencia também a adoção de tecnologias e a qualificação dos profissionais. A pressão coercitiva também influencia a decisão de investir na aquisição de tecnologia e contratação de profissionais de Segurança da Informação, o que ocorre para atender a regulamentos governamentais. Os autores observaram também que há pressão coercitiva de organizações parceiras quanto às medidas necessárias para mitigar riscos comuns.
Ao estudarem a importância de fatores que influenciam a conformidade de serviços de saúde com a Health Insurance Portability and Accountability Act (HIPAA), lei dos Estados Unidos que regula, entre outros aspectos, a privacidade e a segurança de informações eletrônicas de pacientes, Appari, Johnson e Anthony (2009) argumentam que o ambiente legal pede mudanças significativas nas estruturas das organizações e essa regulação
pode levar a uma padronização de processos, práticas e recursos, com o objetivo de ganhar legitimidade no ambiente de negócio através da demonstração de conformidade. Os autores argumentam ainda que a relação de dependência (ou afiliação) entre duas organizações que atuam no mesmo mercado e a imitação de outras organizações que tiveram sucesso quanto a incertezas comuns no ambiente de negócio podem também levar a mudanças tendo como objetivo a legitimação.
Appari, Anthony e Johnson (2009) investigaram a variação da conformidade de hospitais dos Estados Unidos com a norma HIPAA e descobriram que a aderência dessas organizações à legislação é influenciada pela abrangência de outros regulamentos do Governo e pelo apoio de estruturas internas voltadas à conformidade organizacional.
Em outro trabalho, Anthony, Appari e Johnson (2014) perceberam que organizações que atuam no mesmo negócio, se submetidas a ambientes institucionais distintos – serviços de saúde com e sem fins lucrativos, no caso –, produzem resultados distintos quanto à conformidade com as medidas de Segurança da Informação presentes na norma HIPAA.
As influências externas nos investimentos em Segurança da Informação foram estudadas por Hu, Hart e Cooke (2006), que argumentam que os investimentos em tecnologias de Segurança da Informação e o desenvolvimento de políticas de Segurança da Informação têm baixa prioridade para os gestores. Em contrapartida, os autores observaram que os meios mais eficazes para impulsionar os investimentos em tecnologia e os esforços para desenvolver políticas são forças institucionais coercitivas e normativas, oriundas da legislação e da profissionalização dentro do campo em que as organizações estão inseridas. Os autores observaram também que os profissionais de TI sofrem maior influência de forças normativas, devido à sua formação profissional e à participação em redes profissionais de Segurança da Informação.
Hu, Hart e Cooke (2007) mostraram que, além de pressões ambientais, a organização está sujeita também a forças internas. Entre as pressões coercitivas do ambiente para que a organização adote medidas de Segurança da Informação, os autores identificaram as auditorias e a legislação. Como pressões normativas, os resultados da pesquisa apontam as interações entre os profissionais que atuam na Segurança da Informação, que acontecem através de associações profissionais, atualizações sobre modelos e padrões e publicações sobre o tema.
Hu, Hart e Cooke (2007) também apontam dificuldade em identificar influências miméticas e atribuem essa dificuldade à natureza da Segurança da Informação: relatos de sucesso na implantação de medidas de Segurança da Informação raramente são divulgados, enquanto relatos de incidentes são mais comuns. Com isso, os autores argumentam que é mais difícil imitar casos de sucesso, já que esses não são divulgados. Quanto às forças internas, os autores concluem que a busca pela eficiência pode motivar a resistência às medidas de Segurança da Informação adotadas pela organização.
Uma pesquisa anterior com o objetivo de analisar se a adoção de medidas de Segurança da Informação pelas organizações era fruto de pressões institucionais ou da estrutura de Governança da Segurança da Informação (ALBUQUERQUE JUNIOR; SANTOS, 2015) mostrou que a adoção é resultado de pressões do ambiente institucional, exercidas principalmente por meio de leis, decretos e outros regulamentos e pela interação de profissionais de TI e Segurança da Informação com seus pares em redes profissionais, mas também pela imitação de medidas adotadas por outras organizações públicas e pelos padrões e normas internacionais de Segurança da Informação, evidenciando que pressões coercitivas, normativas e miméticas influenciam a adoção. A pesquisa mostrou também que normas e padrões internos previamente adotados pela organização influenciam a adoção de outras medidas de Segurança da Informação, e que são adotadas principalmente medidas técnicas.
A relação entre as pressões institucionais e a adoção de medidas técnicas, formais e informais foi analisada em outra pesquisa (ALBUQUERQUE JUNIOR et al., 2016) que mostrou que a adoção acontece devido a pressões coercitivas e miméticas, mas principalmente devido a pressões normativas. A participação de profissionais de TI e Segurança da Informação em redes de troca de informações e conhecimentos foi a pressão institucional mais associada à adoção de medidas técnicas, e a publicação de normas e padrões internacionais de Segurança da Informação foi a pressão mais associada à adoção de medidas formais e informais. A pesquisa evidenciou também que a adoção de medidas técnicas e informais está mais associada a pressões normativas, enquanto a adoção de medidas formais está mais associada a pressões coercitivas. Por fim, a pesquisa mostrou que as medidas técnicas são as mais difundidas pelas organizações, muitas delas adotadas por todas as organizações que participaram da pesquisa, e que a Política de Segurança da Informação e o Comitê de Segurança da Informação são as medidas formais mais adotadas, enquanto os treinamentos de profissionais de TI são as medidas informais mais comuns.
Os trabalhos que abordam a Segurança da Informação sob a lente da Teoria Institucional enfatizam principalmente a conformidade com regulamentos e leis (LOPES, 2012; KAM et al., 2013; KAM; KATERATTANAKUL; EMERICK, 2013; ALKALBANI; DENG; KAM, 2014, 2015; ANTHONY; APPARI; JOHNSON, 2014; LOPES; SÁ-SOARES, 2014) e a institucionalização e difusão de políticas, normas e estruturas de Segurança da Informação (BACKHOUSE; HSU; SILVA, 2006; LUESEBRINK, 2011; HOLGATE; WILLIAMS; HARDY, 2012; HSU; LEE; STRAUB, 2012; LOPES, 2012; NASUTION, 2012; WILLIAMS; HARDY; HOLGATE, 2013; LOPES; SÁ-SOARES, 2014).
Embora reconheçam o potencial da Teoria Institucional em estudos a respeito das influências externas sobre as ações organizacionais visando à Segurança da Informação, alguns trabalhos críticos a esta abordagem são citados por Hu, Hart e Cooke (2007), que resumem as críticas à ideia de que, se as organizações são tão diferentes sob diversos aspectos, as pressões externas talvez não sejam tão poderosas a ponto de causar a homogeneização do ambiente institucional.
Isso é reforçado por estudos que admitem fatores internos como fontes de pressão para adoção de medidas de Segurança da Informação. Esses estudos mostram que as organizações estão sujeitas a pressões institucionais coercitivas, normativas e miméticas para que adotem medidas de Segurança da Informação, mas mostram também que a adoção depende da percepção interna quanto ao ganho ou perda de eficiência no desenvolvimento das atividades da organização (HU; HART; COOKE, 2007; HSU; LEE; STRAUB, 2012; KAM et
al., 2013), do apoio de subunidades organizacionais, o que implica na conformidade com os
requisitos externos de Segurança da Informação das organizações (APPARI; ANTHONY; JOHNSON, 2009), da existência de estruturas de governança da Segurança da Informação e das decisões tomadas no contexto dessas estruturas (ALBUQUERQUE JUNIOR; SANTOS, 2015) ou da disponibilidade de recursos e do resultado de avaliações das necessidades internas de Segurança da Informação (CAVUSOGLU et al., 2015).
Nesse sentido, e apesar de não tratarem de Segurança da Informação, Boxenbaum e Jonsson (2009) argumentam que, embora as pressões institucionais possam causar isomorfismo entre as organizações, estas podem também fazer escolhas quando as pressões são conflitantes entre si ou quando são contrárias às suas necessidades de eficiência interna, e que isso resulta em uma dissociação entre a estrutura formal adotada pela organização e as ações e práticas do dia a dia.